Architettura della connettività SD-WAN con la rete WAN virtuale di Azure
La rete WAN virtuale di Azure è un servizio di rete che riunisce molti servizi di sicurezza e connettività cloud con una singola interfaccia operativa. Questi servizi includono la connettività branch (tramite VPN da sito a sito), l'utente remoto (VPN da punto a sito), la connettività privata (ExpressRoute), la connettività transitiva all'interno del cloud per reti virtuali, VPN ed ExpressRoute interconnettività, routing, Firewall di Azure e crittografia per la connettività privata.
Anche se Azure rete WAN virtuale è una rete SD-WAN basata sul cloud che offre una vasta gamma di servizi di connettività, routing e sicurezza di Azure, Azure rete WAN virtuale è progettato anche per consentire un'interconnessione senza problemi con tecnologie e servizi SD-WAN e SASE basati su locale. Molti di questi servizi sono offerti dall'ecosistema della rete WAN virtuale di Microsoft e dai partner dei servizi gestiti (MSP) della Rete di Azure. Le aziende che trasformano la rete WAN privata in SD-WAN possono scegliere tra varie opzioni per interconnettere la rete SD-WAN privata con la rete WAN virtuale di Azure. Sono disponibili le opzioni seguenti:
- Modello di interconnessione diretta
- Modello di interconnessione diretta con appliance virtuali di rete in-VWAN-hub
- Modello di interconnessione indiretta
- Modello di rete WAN ibrida gestita con il provider di servizi gestiti preferito MSP
In tutti questi casi, l'interconnessione della rete WAN virtuale con SD-WAN è simile dal punto di vista della connettività, ma può variare per quanto riguarda l'orchestrazione e il lato operativo.
Modello di interconnessione diretta
In questo modello di architettura, l'apparecchiatura CPE (Customer-Premises Equipment) del ramo SD-WAN è connessa direttamente agli hub di rete WAN virtuale tramite connessioni IPsec. Il CPE del ramo può anche essere connesso ad altri rami tramite la rete SD-WAN privata oppure usare rete WAN virtuale per la connettività da ramo a ramo. I rami che devono accedere ai carichi di lavoro in Azure saranno in grado di accedere in modo diretto e sicuro ad Azure tramite uno o più tunnel IPsec terminati in uno o più hub di rete WAN virtuale.
I partner CPE SD-WAN possono abilitare l'automazione per la connettività IPsec, normalmente tediosa e soggetta a errori, dai rispettivi dispositivi CPE. L'automazione consente al controller SD-WAN di comunicare con Azure tramite l'API rete WAN virtuale per configurare i siti di rete WAN virtuale e di eseguire il push della configurazione del tunnel IPsec necessaria ai cpes del ramo. Per la descrizione dell'automazione dell'interconnessione di rete WAN virtuale da parte di diversi partner SD-WAN, vedere le linee guida per l'automazione.
Il CPE SD-WAN continua a essere il luogo in cui viene implementata e applicata l'ottimizzazione del traffico e la selezione del percorso.
In questo modello, alcune ottimizzazioni del traffico proprietarie del fornitore, basate su caratteristiche di traffico in tempo reale, potrebbero non essere supportate perché la connettività alla rete WAN virtuale avviene tramite IPsec e la VPN IPsec viene terminata nel gateway VPN della rete WAN virtuale. Ad esempio, la selezione dinamica del percorso nel dispositivo CPE del ramo è possibile grazie allo scambio di informazioni sui pacchetti di rete tra il dispositivo del ramo e un altro nodo SD-WAN, che consente di identificare, dinamicamente nel ramo, il collegamento ottimale da usare per il traffico in base a criteri di priorità. Questa funzionalità può essere utile nelle aree in cui è necessaria l'ottimizzazione dell'ultimo miglio (il ramo verso il POP Microsoft più vicino).
Con la rete WAN virtuale, gli utenti possono sfruttare la funzionalità di selezione del percorso di Azure, ovvero la selezione del percorso basata su criteri tra più collegamenti ISP dal dispositivo CPE del ramo ai gateway VPN della rete WAN virtuale. La rete WAN virtuale consente la configurazione di più collegamenti (percorsi) dallo stesso dispositivo CPE del ramo SD-WAN. Ogni collegamento rappresenta una connessione a doppio tunnel da un indirizzo IP pubblico univoco del dispositivo CPE SD-WAN a due istanze diverse del gateway VPN della rete WAN virtuale di Azure. I fornitori di reti SD-WAN possono implementare il percorso ottimale verso Azure, in base ai criteri di traffico impostati dal motore dei criteri nei collegamenti CPE. Alla fine di Azure, tutte le connessioni in arrivo vengono trattate allo stesso modo.
Modello di interconnessione diretta con appliance virtuali di rete in-VWAN-hub
Questo modello di architettura supporta la distribuzione di un'appliance virtuale di rete di terze parti direttamente nell'hub virtuale. Ciò consente ai clienti che vogliono connettere il cpe del ramo alla stessa appliance virtuale di rete del marchio nell'hub virtuale in modo che possano sfruttare le funzionalità proprietarie della rete SD-WAN end-to-end durante la connessione ai carichi di lavoro di Azure.
Diversi partner rete WAN virtuale hanno lavorato per offrire un'esperienza che configura automaticamente l'appliance virtuale di rete come parte del processo di distribuzione. Dopo aver effettuato il provisioning dell'appliance virtuale di rete nell'hub virtuale, è necessario eseguire qualsiasi configurazione aggiuntiva necessaria per l'appliance virtuale di rete tramite il portale dei partner dell'appliance virtuale di rete o l'applicazione di gestione. L'accesso diretto all'appliance virtuale di rete non è disponibile. Le appliance virtuali di rete disponibili per la distribuzione direttamente nell'hub rete WAN virtuale di Azure vengono progettati appositamente per essere usate nell'hub virtuale. Per i partner che supportano l'appliance virtuale di rete nell'hub VWAN e le relative guide alla distribuzione, vedere l'articolo rete WAN virtuale Partner.
Il CPE SD-WAN continua a essere il luogo in cui viene implementata e applicata l'ottimizzazione del traffico e la selezione del percorso. In questo modello, l'ottimizzazione del traffico proprietaria del fornitore in base alle caratteristiche del traffico in tempo reale è supportata perché la connettività a rete WAN virtuale avvierà tramite l'appliance virtuale di rete SD-WAN nell'hub.
Modello di interconnessione indiretta
In questo modello di architettura, i dispositivi CPE dei rami SD-WAN sono connessi indirettamente agli hub di rete WAN virtuale. Come illustrato nella figura, un dispositivo CPE virtuale SD-WAN viene distribuito in una rete virtuale aziendale. Il dispositivo CPE virtuale è a sua volta connesso a uno o più hub di rete WAN virtuale tramite IPsec e funge da gateway SD-WAN verso Azure. I rami che devono accedere ai carichi di lavoro in Azure potranno farlo tramite il gateway v-CPE.
Poiché la connettività ad Azure avviene tramite il gateway v-CPE (appliance virtuale di rete), tutto il traffico tra le reti virtuali che gestiscono il carico di lavoro di Azure e altri rami SD-WAN passa attraverso l'appliance virtuale di rete. In questo modello, l'utente è responsabile della gestione e del funzionamento dell'appliance virtuale di rete SD-WAN, inclusi i requisiti di disponibilità elevata, scalabilità e routing.
Modello WAN ibrido gestito
In questo modello di architettura, le aziende possono sfruttare un servizio SD-WAN gestito offerto da un partner provider di servizi gestiti (MSP). Questo modello è simile ai modelli diretti o indiretti descritti in precedenza. In questo caso, tuttavia, la progettazione, l'orchestrazione e le operazioni della rete SD-WAN vengono fornite dal provider SD-WAN.
I partner MSP della Rete di Azure possono usare Azure Lighthouse per implementare il servizio di rete SD-WAN e WAN virtuale nella sottoscrizione di Azure del cliente aziendale, nonché per gestire la rete WAN ibrida end-to-end per conto del cliente. Questi MSP possono anche essere in grado di implementare Azure ExpressRoute nella rete WAN virtuale e usarlo come servizio gestito end-to-end.